Dialer "Free XXX"

Hallo,
sehe ich das jetzt richtig, du hast DSL, also kann der Dialer nicht aktiv werden, aber trotzdem bekommst du Popup-Fenster mit XXX-Inhalten?

Wenn es nur der Dialer wäre, der aktiv ist, so würden solche Seiten nicht auftauchen. Ein Dialer ist nur für die Einwahl über fremde Nummer und dadurch höhere Kosten verantwortlich. Den Dialer kannst du doch per Hand löschen oder du lässt mal Antivir laufen, das erkennt nämlich auch Dialer, dazu muss aber bei der Erkennung DIALER aktiviert sein. Einfach mal Antivir öffnen, dann auf OPTIONEN->KONFIGURATIONSMENÜ->UNERWÜNSCHTE PROGRAMME->KOSTENPFLICHTIGE EINWAHLPROGRAMME anklicken und dann auf ok. Nun einen Scan starten.

Sollte kein Dialer aktiv sein, sieht man eigentlich auch unten rechts auf dem desktop im Systray, so handelt es sich nicht um einen Dialer. Jetzt könnte es sich um einen Browser-Hijacker handeln, der deine Internetstartseite umschreibt und/oder Popups verursacht. Für das Problem downloade dir CWShredder und lass das laufen. Immer noch keine Problemlösung? Dann zieh dir HijackThis und lasse deinen Rechner scannen. Das Scanergebnis schreibst du hier in diesen Beitrag und ich schau mal drüber, ok.

Viel Erfolg
Gruß
Back

Hallo,
bei Ad-Aware klickst du einfach weiter. Auch kannst du dir noch das Programm "SpyBot-Search & Destroy 1.3 Deutsch" holen und das auch noch laufen lassen. Das entfernt auch solche unerwünschten Spione. Hier installierst du das Programm, machst dann noch ein Update übers Internet (nach Updates suchen), damit die neusten Spione gefunden werden. Nun auf "Überprüfen" klicken, dann läuft der Scan und dann "Probleme beheben" anklicken.

Hijackthis Ergebnisse hierher kopieren:

Also erst Scan und dann, nachdem Hijackthis alles anzeigt, klickst du auf "Save Log" das speicherst du irgendwohin undLOG-Datei öffnet sich mit dem Editor. Hier kannst du nun alles kopieren und dann wieder einfügen, ok.

Kommt denn das "XXX" immer noch???

Gruß
Back

Hallo,
da hat sich ja schon einiges in dein System geschlichen

Das kannst du mal mit Hijackthis alles ankreuzen und dann "fix checked" klicken. Bei der Frage, ob ein Backup gemacht werden soll, klickt du ja oder yes an, jedenfalls wird dann ein Backup der Einträge erstellt. So kann man, wenn nötig, noch die Einträge zurückschreiben.

Verfasst am: Mon Oct 25, 2004 7:46 pm Titel:

--------------------------------------------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 19:44:40, on 25.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\BYSOFT\FREERAM\FREERAM.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\ANWENDUNGSDATEN\INLB.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\PROGRAMME\WINEX\V2\WINEX.DLL (file missing)
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 http://www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 http://www.awmdabest.com
O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 http://www.allforadult.com
O1 - Hosts: 127.0.0.3 http://www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 http://www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 http://www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net

O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\PROGRAMME\WINEX\V2\WINEX.DLL (file missing)

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\QUESTMOD.DLL (file missing)

O4 - HKCU\..\Run: [sp] C:\WINDOWS\SP.EXE
>>>>Hmmm, die sieht verdächtig aus, aber ich kann nichts genaues sagen.
O4 - HKCU\..\Run: [Udrr] C:\WINDOWS\Anwendungsdaten\inlb.exe
>>>>genau das gleiche, verdächtig, aber ich weiss nicht was es ist. Einfach mal mitfixen und notfalls kannst du den Eintrag zurücksichern.

O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\WINDOWS\TEMP\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Das auf alle Fälle alles weg. Ankreuzen und dann fixen, ok! Dein xxx.toolbar ist übrigens auch mit dabei.
Nachdem du alles gefixt hast, starte den Rechner neu und schau dann, ob sich immer noch XXX-Seiten öffnen. Wenn nicht ok, ansonsten schick mir erneut das HijackThis-File hier her, dann schau ich erneut drüber.

Gruß
Back

Stop Stop
zuviel kopiert :lol:

Nur die Einträge hier fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.windowenhancer.com/searchbar/iev1.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.c….cgi?partner=wesearch&kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\PROGRAMME\WINEX\V2\WINEX.DLL (file missing)
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 http://www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 http://www.awmdabest.com
O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 http://www.allforadult.com
O1 - Hosts: 127.0.0.3 http://www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 http://www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 http://www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net

O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\PROGRAMME\WINEX\V2\WINEX.DLL (file missing)

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\QUESTMOD.DLL (file missing)

O4 - HKCU\..\Run: [sp] C:\WINDOWS\SP.EXE
>>>>Hmmm, die sieht verdächtig aus, aber ich kann nichts genaues sagen.
O4 - HKCU\..\Run: [Udrr] C:\WINDOWS\Anwendungsdaten\inlb.exe
>>>>genau das gleiche, verdächtig, aber ich weiss nicht was es ist. Einfach mal mitfixen und notfalls kannst du den Eintrag zurücksichern.

O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\WINDOWS\TEMP\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Die Prozesse oben ( der Teil, der folgt) ist ok und normal

Verfasst am: Mon Oct 25, 2004 7:46 pm Titel:

--------------------------------------------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 19:44:40, on 25.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\BYSOFT\FREERAM\FREERAM.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\ANWENDUNGSDATEN\INLB.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

Ok, weniger ist es ja schon mal geworden. Diese Einträge sind nicht ok:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKCU\..\Run: [sp] C:\WINDOWS\SP.EXE

Die SP.EXE ist laut Internet nicht in Ordnung, die verursacht das alles wohl. Hier ein Link zu einer Software, die diesen Trojaner beseitigen kann. http://mmrealisation.de.vu/

... und diesen Eintrag würde ich auch fixen und zusätzlich noch die EXE ausser Kraft setzen.

O4 - HKCU\..\Run: [Udrr] C:\WINDOWS\Anwendungsdaten\inlb.exe

Um die Datei ausser Kraft zu setzen, öffnest du den Taskmanager mit "STRG+ALT+ENTF". Klicke nun auf "Prozesse", suche die "inlb.exe" und klicke auf "Prozess beenden" Danach öffnest du den Arbeitsplatz und gehst auf

C->WINDOWS->ANWENDUNGSDATEN. Hier steht nun die "inlb.exe" und die bennest du in "inlb.ex_e" um. So ist die Datei zwar noch da, falls sie wichtig wäre, aber die Datei ist nicht mehr ausführbar, also flach gelegt
Nun fahre den Rechner neu hoch und schau, ob die Seiten noch kommen. Wenn nicht, ist alles gut, ansonsten wieder HijackThis laufen lassen und den Bericht hier reinschreiben

Gruß
Back

Hallo,
hmmm so langsam kann ich nicht meh weiterhelfen, die meisten Sachen haben wir weg, aber ich weiss jetzt nicht mehr an was es noch liegen sollte, da du immer noch deine Seiten bekommst und aus der Ferne sit das alles immer sehr schwer zu beheben.

2 Programme sind mir noch etwas komisch, allerdings kann ich zu denen keine Auskunft geben, da ich sie nicht detailiert kenne.

O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe

hmmm, ist das nun ein versteckter Hijacker oder doch nur eine Systemzeitabgleichung??? Sieht auf alle fälle komisch aus und hat nichts direkt mit dem Windows zutun. Kann allerdings auch eine Software sein, die du installiert hast, damit deine Zeit auf dem Rechner immer aktuell gehalten wird. Hast du sowas installiert??? Wenn ja, dann wäre es ahrscheinlich ok. Es gibt da mehrere Einträge mit SYSTIME, notfalls die mal fixen.

O9 - Extra button: iFinger (HKLM)
Kein Ahnung was das sit, aber ich habs schon öfter bei den Scanprotokollen gelesen. Bis jetzt hat da aber noch nie jemand gesagt, das der Eintrag gefixt werden muss.

Nutzt du XP??? Dann müsste man mal die Systemwiederherstellung austellen, dann die Einträge fixen und danach die Wiederherstellung wieder aktivieren.

Die Einträge hier wieder weg und lass keinerlei Fenster offen. Weder einen Ordner, noch ein Internet Explorer Fenster:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

xxx-toolbar: Mit grosser Wahrscheinlichkeit handelt es sich um ein Extra-Button für den Internet Explorer, welches gleichzeitig noch die Popups verursacht, aber sicher bin ich mir da nicht. toolbars jedoch braucht man nicht, das sind immer nur Zusatzhilfen für den IE.

Gruß
Back

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.phpBöse

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.phpEventuell Böse

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.phpBöse

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.phpEventuell Böse

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.phpEventuell Böse

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL Böse

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\QUESTMOD.DLL Böse

O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe Böse

O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE Böse

O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE" Böse

O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe Böse

O9 - Extra button: Related (HKLM) Eventuell Böse

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) Eventuell Böse

O15 - Trusted Zone: *.windupdates.com Böse

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/…9e99bb1ec51fadc828f5983e2 3109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a 1fb09d00c5943edceabcca450006 Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!

Sodele, das ist die momentane Auswertung deines Logfiles.

Entferne die Sachen, dann starte deinen Rechner im abgesicherten Modus, deaktiviere die Systemwiederherstellung, und scanne wieder mit HiJackThis.
Dein Logfile gibst du dann >hier< ein. Dann kannst du selber überprüfen, welche krummen Sachen noch da sind.

>Hier< kannst du dir das Tool eScan mit Anleitung besorgen.

Gutes Gelingen! :wink:

>>>havb alles zu gehabt als ich gescant und gefixt habe. versprochen! ich habe "ME"!
Das ist aber keine gute NAchricht, dass du nicht mehr weiter weisst. Das macht mir ein bisschen Angst.
Wie finde ich denn diese "xxx-toolbar" auf meinem PC und wie krich ich die wieder weg?
Ich hoffe, dass dir noch irgentwas einfällt, ansonsten sieht es schlecht aus...
danke trotzdem für alles<<<

ME: ist sowieso das anfälligste Betriebsystem von Microsoft. Stelle bitte mal die Systemsteuerung aus und folge auch dem Beitrag von Bessy.

Deine Angst: muss nicht sein, denn das einzig Schlimme, was passieren kann, ist eine Neuinstallation von Windows.Wenn man vorher die wichtigen Daten auf CD brennt und dann neuinstalliert, so braucht man dafür nur etwas Zeit und hat seine "wichtigen Daten" weiterhin.

Weiterwissen: Ich weiss schon weiter, aber nur, wenn ich vor einem Rechner sitze. Ferndiagnose ist in etwa wie eine Telefonauskunft beim Arzt, mit der Beschwerdediagnose "Magenschmerzen". Kein Arzt kann dir sagen, was du hast und muss dich direkt untersuchen Ich kann dir mein umfassendes Wissen nicht aufschreiben, denn es ist sehr viel und ich kann dir auch nicht all das verständlich machen, was ich weiss, weil du nicht das Grundwissen über Rechner hast, um es alles zu verstehen. Es ist ein Teufelskreis

xxx-toolbar: Wenn es detailerte Informationen im Netz dazu gäbe, dann hätt ich sie schon gefunden, aber leider leider ist das Ding unbekannt. Wie also soll ich dir eine Anleitung geben, wenn ich nicht weiss, worum es sich genau handelt. ... ist wieder so ein Magenproblem, aber ohne die Ursache zu kennen, kann man nicht helfen.

Nächster Versuch:
1. Deaktiviere die Systemwiederherstellung ... die du wahrscheinlich nie in deinem Leben nutzen wirst ... und fahre den Rechner im bgesicherten Modus neu hoch. Das geht wie folgt:

http://www.bsi.de/av/texte/wiederher_me.htm

Steht alles dirn, sogar der Neustart in den abgesicherten Modus.

2. Starte Hijackthis und fixe alle Einträge, die Bessy nochmal aufgezählt hat.

3. Starte den Rechner neu (normal) und schau, ob jetzt alles geht.

4. Schalte die Systemwiederherastellung wieder ein und starte den Rechner neu. Schau nun wieder, ob die xxx-Seiten nun wieder auftauchen. ISt das nicht der Fall ... super ... kommen die Seiten wieder, so befolge Schritt 1-3 nochmals und lass die Systemwiederherstellung deaktiviert.

Gruß
Back

Mensch, wenn man dir helfen soll, dann schreib mal etwas mehr als hab ich gemacht oder den Hijackthis-Scan, den ihc im Übrigen vermisse. Den bräuchte ich schon noch mal, damit ich sehe, was denn nun wieder da sit und was wir wegbekommen haben.

Was genau hast du alles gemacht?

Hast du die Systemwiederherstellung ausgestellt? Ist C:\WINDOWS\SYSTEM\systime.exe noch aktiv? Hast du die Datei mal ausser Gefecht gesetzt, mit der Umbenennungsmethode, die ich dir genannt hab?

Wir versuchen dir ja zu helfen, aber schau dir mal an, was du immer schreibst ... hab ich gemacht ... ich kann leider nicht Hellsehen, Gedanken lesen und sitze auch nicht direkt vor deinem Rechner, also musst du mir mehr Infos geben. Sorry, wenn ich da gerade etwas sauer werde, aber deine Antworten sind nicht detailiert genug. Schau dir an wieviel ich jedes mal tippe, um dir Sachen zu erklären. Ich mach das hier freiwillig, bin weder Veranstalter dieser Seite noch ein sogenannter VIP. Ich helfe hier nur .. in meiner Freizeit.

Also schreib mir bitte, was du beim letzen Mal genau alles gemacht hast. Vielleicht hast du was übersehen oder mir fällt noch was ein, wenn ich deinen Bericht lese.

Für den Fall bis jetzt schlage ich vor, deaktiviere nochmals die Systemwiederherstellung, starte dann im abgesicherten Modus neu und fixe die Einträge, die wir jetzt schon als Böse geoutet haben. Dann starte den Rechner neu und gehe sofort wieder in den abgesicherten Modus. Scanne wieder mit Hijackthis (es gibt leider kein besseres Programm für dein Problem) und schau nach, ob irgendein Eintrag deiner gefixten Einträge wieder da ist. Wenn nicht, dann starte den Rechner normal und lass die Systemwiederherstellung aus. Scanne hier mit Hijackthis. Wenn jetzt immer noch alle bösartigen Einträge weg sind, dann lass die Systemwiederherstellung aus. Nun gehe ins Netz und schau, ob da wieder solche seiten kommen. Wenn JA, dann kontrolliere mal, was du da alles für Software unten rechts neben der Uhr zu laufen hast. Entweder ist da ein Programm dabei, was dies verursacht ODER du gehst jedesmal auf eine Internetseite, die diese Einträge wieder einschreibt. Schau auch mal in den Internetoptionen des Internet Explorers nach, was du da als Startseite eingetragen hast. Stell das auf http://www.google.de oder irgendeine seriöse Seite um. Es kann nur noch daran liegen. Ich hab bis jetzt jeden blöden Hijacker und Trojaner wegbekommen. Gesetzt den Fall (ich will es dir nicht unterstellen, aber diese Fehlerquelle ausschliessen) du besuchst immer wieder bestimmte XXX-Seiten, so kommt dein Problem immer wieder, da im Script dieser Internetseite steht, dass gewissen Einträge auf deinem System verändert werden sollen. Oder es sind Hckerseiten oder du führst immer wieder irgendein Programm aus, dass nicht ganz seriös ist und dein Problem verursacht. Da ich nicht weiss, was du auf deinem Rechner machst, kann ich aus der Ferne nicht beurteilen, warum die Setien immer wieder auftauchen, obwohl iwr sie immer wieder löschen.

Gerade diese Einträge hier kommen ja immer wieder

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

Diese Adresse "213.159.117.134" hat keinen Namen, also weiss ich nicht, was das für eine Seite ist und ich werde eine Teufel tun und mir mein System versauen, in dem ich diese Seite aufrufe

Zur Erklärung:
http://www.yahoo.de hat die Adresse 213.159.117.134 Mache ich nun eine Routenverfolgung von 213.159.117.134, so bekomm ich die Info, dass die Seite mit richtigem Internetnamen "www2.vip.ukl.yahoo.com" heisst. Daraus kann ich natürlich schlussfolgern, dass es sich um YAHOO handelt, aber bei deiner Adresse kommt nichts. Keine Namensauflösung, einfach nur diese IP-Adresse.

Stop, ok unter Google in der Suche finde ich "Cool Web Search" und gegen Cool Web Search (CWS) hilft eigentlich der CWShredder. CWS ist das Stichwort

Nagut, mach noch nicht das, was ich oben geschrieben habe, mache folgendes:

Downloade dir den CWShredder 2.0

http://cwshredder.net/bin/CWSInstall.exe

Fahre den Rechner hoch, nun gehe auf Start->Einstellungen->Systemsteuerung->Internetoptionen und stelle hier deine Startseite auf http://www.google.de ein. WICHTIG, du darfst den Internet Explorer nicht öffnen, sobald der geöffnet wird, stellt sich die Seite wieder um!!! Nun klicke HijackThis an und schliesse alle Fenster, auch Ordner. Nun mach den Scan mit Hijackthis und fixe die Einträge , die Bessy beschrieben hat, sofern noch vorhanden. Nun installiere CWShredder und öffne CWShredder. Schliesse wieder ALLE Fenster und lass CWShredder laufen. Das Programm sollte einen bestimmten CWS finden, also müsste da bei einem der verschiedenen Abarten was naderes als "not present" stehen. Toi toi toi, dass dies der Fall ist Nach diesem Scan fahre den Rechner herunter und starte ihn neu. Gehe jetzt wieder auf die Internetoptionen und schau, ob da noch http://www.google.de steht. Wenn ja, dann öffne den Internet Explorer und schliesse ihn wieder. Nun schau wieder in die Internetoptionen und wenn da wieder 213.159.117.134 steht, dann ist das Scheissding immer noch da. An der Stelle gebe ich dann auf, denn ich kann dir aus der Ferne nicht mehr helfen. Hoffen wir, dass du den Hijacker jetzt wegbekommst.

Im Übrigen müsste ich schon wieder auf dich sauer sein, denn du hast mit KEINEM WORT erwähnt, dass deine 1. Seite im Internet Explorer eine Cool Web Search-Seite ist. GENAU SOLCHE INFOS BRAUCHT MAN ABER!!! ättest du das erwähnt, dann würden wir nicht nur mit Hijackthis rumdudeln, sondern hätten mit CWShredder das Ding vielleicht schon weg.

EGAL

Hoffentlich klaptt es jetzt, ich bin nämlich etwas angesäuertüber die viele vergebene Zeit und meine stundenlangen Erklärungen

Gruß
Back

Tiefer Knicks vor dir Back,

könntest du mir ein bissel was von deiner Geduld per pn rübersenden?:wink:

Weiter so.

Hallo Bessy,
wie du siehst ist die Geduld ja schon fast am Ende, aber so schnell geb ich nicht auf, wenn mein Partner "luhman" mitspielt

Ich schick dir mal ne Hand voll Bessy, aber bedenke, dass Geduld auch was mit Fanatismus zutun hat, denn welcher normale Mensch widmet sich einem Problem so lang, wenn Format C: schneller ginge :lol: :lol: nur wenn du fanatisch bis, machst du sowas mit

AlsoLuhman, mach bitte den unteren Teil von meinem langen Vorbeitrag und wir hoffen alle, das du es schaffst

Gruß
Back